А ведь со слива билдера прошло чуть больше недели!
https://www.securitylab.ru/upload/ib...me7uhdod78.jpg
В понедельник ИБ-специалист Владислав Радецкий опубликовал отчет о новом шифровальщике, который использовала группировка вымогателей Bl00Dy для атаки на украинскую жертву.
https://www.securitylab.ru/upload/im...t-img(521).png
Твит, опубликованный Радецким 25 сентября.
Правда специалисту была неясно, у кого злоумышленники взяли код – у Conti или LockBit, так как адрес электронной почты ' mailto:[email protected] ' ранее появлялся в шифровальщике, созданном на основе исходного кода Conti, слитого в сеть весной этого года.
Однако позже исследователи из MalwareHunterTeam подтвердили , что вредонос был создан с помощью конструктора от LockBit 3.0, который не так давно был слит в интернет разъяренным разработчиком.
Однако, между старыми шифровальщиками Bl00dy и последним из обнаруженных вредоносов есть отличие: к зашифрованным файлам больше не добавляется расширение .bl00dy, у конструктора от LockBit 3.0 нет возможности настроить расширение. А вот записка почти не изменилась – сохранился классический “стиль” LockBit, Bl00dy просто немного изменили ее, добавив собственный текст и контактную информацию.
https://www.securitylab.ru/upload/im...t-img(522).png
Записка от группировки Bl00dy.
По мнению экспертов, группировка постоянно переключается с одной вредоносной программы на другую по двум причинам: так злоумышленники хотят избежать обнаружения и иметь под рукой все преимущества функций различных вредоносов.